Indice degli argomenti:
-
Tecniche più sfruttate per la violazione delle password
-
Password cracking
-
Brute force attack
-
Cos’è l’attacco a dizionario
-
Vantaggi attacco a dizionario
-
Attacco a dizionario con regole
-
Attacco a dizionario con pattern
-
Come si blocca l’attacco a dizionario
-
Probabilità di successo dell’attacco a dizionario
-
Scelta di password sicure: la miglior prevenzione contro i dictionary attack
Sicurezza delle password: problema comune
Sono passati ormai 10 anni da quando, nel lontano 2012, circa 164 milioni di credenziali furono rubate da LinkedIn.
Tra queste, sembra assurdo, compariva anche quella di Mark Zuckerberg, che usava la stessa password anche per Twitter e Pinterest, ovvero “dadada”.
Ovviamente non era il solo a commettere un errore tanto banale quanto rischioso. La maggior parte degli utenti aveva una password debole, che tra l’altro riutilizzava anche per molti altri portali web.
Ad oggi, purtroppo, il trend non è cambiato.
Ancora tantissime persone non adottano misure di sicurezza necessarie in materia di sicurezza delle password e sono suscettibili a quello che viene chiamato attacco a dizionario. Ma facciamo un passo indietro e, prima di tutto, cerchiamo di capire meglio come si svolge la pratica di password cracking.
Come si ruba una password? Le tecniche più utilizzare dagli hacker
Tra le diverse modalità utilizzate per rubare le password, possiamo distinguere, dunque, due principali metodi:
Ingegneria sociale
riguarda tutti quei sotterfugi che prevedono di ingannare la vittima tramite e-mail o messaggi di phishing affinché comunichi direttamente la propria password;
Password cracking
riguarda la violazione dei database dei siti web per scovare le password degli utenti registrati.
Approfondiamo le tecniche di violazione delle password
Per quanto riguarda l’ingegneria sociale, abbiamo già parlato di questa tecnica di cyber attack all’interno dell’articolo dedicato allo spoofing sui social network.
Lo spoofing tramite social network è un attacco informatico che può essere impiegato anche per carpire credenziali di accesso. L’attacco sfrutta la creazione di falsi account a nome di altri utenti. Alcuni cyber criminali riescono tramite gli account fake ad ottenere la fiducia degli amici e ad indurli a registrarsi su portali web. Una volta registrati, gli attaccanti collezionano centinaia di migliaia di credenziali a loro disposizione.
Tecnica del password cracking
Gli attacchi di password cracking, invece, vengono eseguiti direttamente sfruttando un sito web, senza coinvolgere l’utente in prima persona.
Generalmente, il malcapitato rimane ignaro di tutto, fino a quando l’attacco è terminato e le credenziali sono state sottratte.
Questo genere di cyber attack viene infatti eseguito offline dopo aver scaricato l’intero database di algoritmi crittografici di un determinato sito web.
Il punto di forza del password cracking è la tecnica definita credential stuffing ovvero l’utilizzo di interi database di credenziali rubate da casi di data breach precedenti, facilmente reperibili nel dark web. Questi database sono una vera e propria miniera d’oro di informazioni per i cyber criminali: solitamente in seguito ad un episodio di data breach, gli attaccanti che riescono ad avere accesso ai database di credenziali, li scaricano e li mettono in vendita su appositi portali nel dark web.
Chiunque può acquistarli e utilizzare il contenuto per perpetrare altre tipologie di attacchi mirati allo sfruttamento delle credenziali.
Le credenziali raccolte all’interno del database possono essere riproposte attraverso la tecnica del credential stuffing per provare ad accedere ad altri servizi online. Questa tecnica è così tanto diffusa poiché gli utenti hanno la pessima abitudine di riutilizzare le stesse password su più siti web.
Tuttavia, esistono dei metodi di cyber attack che non ricorrono necessariamente ai database di credenziali rubate.
Brute force attack
Ad esempio, l’attacco a forza bruta (brute force attack) consiste proprio nel provare tutte le possibili combinazioni di password, partendo dalle più semplici fino a quelle più complesse fino ad arrivare a quella corretta.
Si tratta di un attacco, almeno in teoria, infallibile, perché prevede di inserire appunto tutte le password variabili, arrivando ad indovinare quella corretta.
Questi attacchi informatici vengono perpetrati tramite tecnologie automatizzate: bot o software che permettono di velocizzare i processi e provare molteplici combinazioni al secondo. Tuttavia, questo processo può richiedere, a seconda della potenza del processore, anche tempi di attesa lunghissimi. Più aumenta la complessità della password, più caratteri è possibile inserire (numeri, lettere, simboli), più le combinazioni possibili aumentano.
Se, in teoria si tratta di un metodo infallibile, a nessuno interessa impiegarci secoli o decenni per violare un sistema.
Pertanto, si cerca di sfruttare ulteriormente le cattive abitudini degli utenti ricorrendo agli attacchi a dizionario.
Attacco a dizionario (o dictionary attack)
Come detto, l’attacco a forza bruta può essere inefficiente.
Uno dei metodi più utilizzati per la violazione delle password è quello dell’attacco a dizionario.
I file dizionario, contenenti tutte le parole di una determinata lingua, sono file tranquillamente reperibili online e vengono impiegati per effettuare di tentativi di violazione delle password.
Si tratta di file in formato testo dal peso di alcuni MB. Una volta scaricati, agli attaccanti basterà caricarli nei software di password cracking per far sì che l’attacco automatizzato cominci proprio a partire dalle parole inserite.
L’attacco a dizionario è un metodo che viene utilizzato spesso nei tentativi di password cracking in quanto molti utenti tendono a prediligere chiavi di accesso semplici da ricordare. Si tratta di solito date di nascita o parole appartenenti al linguaggio comune, invece che sequenze alfanumeriche casuali.
Il vantaggio degli attacchi a dizionario rispetto ai più diretti attacchi col metodo forza bruta, è dato dal fatto che il test delle password sul database del sito web è comunque un processo che, seppur automatizzato, richiede una enorme quantità di tempo e risorse.
Tramite gli attacchi a dizionario, si sceglie di provare prima con le combinazioni più probabili.
Anche gli spammer ricorrono ad una forma di attacco a dizionario, conosciuta come Directory Harvest Attack.
In buona sostanza, vengono condensati molteplici tentativi di invio dello stesso messaggio di spam a indirizzi e-mail casuali, cercando di indovinarli in base alle parole e ai nomi più usati.
Per esempio, uno spammer potrebbe provare a cercare:
La logica impiegata da questa tecnica di hacking è elementare: vengono inserite le combinazioni più probabili di nomi e cognomi più usati.
Ovviamente, alcuni indirizzi e-mail verranno sicuramente indovinati e riceveranno il messaggio di spam, per poi essere inseriti nella lista degli indirizzi validi dallo spammer.
Anche per questo motivo è meglio avere un indirizzo e-mail non troppo semplice, nonostante oggi la maggior parte dei servizi di posta elettronica disponga di servizi di filtraggio dello spam automatizzato.
Attacco con regole (rules)
Ovviamente, cambiare semplicemente qualche carattere non è una soluzione efficace contro gli attacchi a dizionario.
Molte persone, nell’illusione di rendere le proprie password più sicure, attuano una sostituzione di alcune lettere, inserendovi simboli ovvi nel tentativo di complicarle ma mantenerle comunque facili da memorizzare.
Si tratta delle cosiddette modifiche ovvie delle password.
Ad esempio, la parola “password” viene abitualmente modificata in: P@ssword, P422vv0rD, P@$$w0rd e via dicendo.
Ma i software di password cracking possono implementare debite regole di sostituzione, studiate appositamente dai cyber criminali in base alle sostituzioni più ovvie e più usate.
In questo modo, riescono a rendere ancora più efficace il normale attacco a dizionario, andando a scovare anche quelle password che gli utenti ignari credevano di avere al sicuro.
Attacco con “Pattern (mask)”
Inoltre, quando viene richiesta una password contenente almeno una maiuscola, un numero ed un carattere speciale, è risaputo che le persone tendano ad usare i medesimi ordini.
Di solito, molti utenti seguono lo schema seguente nella scelta delle password: maiuscola all’inizio, parola al centro, numeri e carattere speciale alla fine.
I password cracker lo sanno bene, perciò si semplificano il lavoro ed utilizzano per primi i pattern statisticamente più utilizzati. In questo modo, riescono a limitare il numero di tentativi, concentrando l’attacco sulle password più probabili.
Come si blocca un dictionary attack
In un attacco a dizionario, l’hacker dovrà essere consapevole del numero di tentativi massimi che può sfruttare per indovinare la password corretta.
Superato un certo numero di tentativi, l’amministratore del sito, l’account manager o comunque, un sistema di rilevamento delle intrusioni potrebbe rilevare l’attacco.
Se si verifica uno di questi scenari, il sistema può bloccare l’aggressore.
Probabilità di successo di un attacco a dizionario
In genere, i dictionary attack hanno maggiore probabilità di successo nel caso in cui le password utilizzate dagli utenti di un sito web siano deboli e comuni.
Ad esempio, sarà difficile che la piattaforma di una banca venga violata tramite l’impiego di questa tecnica di cyber attack. Ad esempio, il caso di SolarWinds è emblematico dello sfruttamento della tecnica a dizionario.
Finché le password rimarranno semplici e prevedibili, gli attacchi del dizionario saranno efficaci.
5 consigli su come non essere prevedibili nella scelta delle password
Le password non sono solo le chiavi per accedere ai nostri account. Le password proteggono ormai tutto ciò che riguarda la nostra vita digitale, dalle conversazioni più intime ai conti bancari.
Per questo, diventa sempre più importante dotarsi di password sicure e difficili da decifrare.
Per concludere quindi, voglio darti 5 consigli per una politica delle password efficiente.
- Utilizzare una password diversa per ogni sito web: se utilizzate sempre la stessa password per tutte le registrazioni, aumenterete il rischio che questa venga scoperta. Se ciò dovesse succedere, perderete l’accesso a ogni account in rete.
- Non utilizzare parole di senso compiuto: come detto, l’attacco a dizionario fa leva proprio su questo principio.
Molti utenti utilizzano parole nella propria lingua, rendendo la propria chiave di accesso facilissima da indovinare per questi software.
Ovviamente, utilizzare parole in lingue straniere non è una soluzione al problema della sicurezza delle password. I file dizionario della maggior parte delle lingue sono tranquillamente reperibili online. - Non inserire i dati personali all’interno delle password.
Questo è forse l’errore più comune e il più pericoloso. La maggior parte delle persone inseriscono la propria data di nascita nelle password, magari anticipata dalle proprie iniziali e seguita da un simbolo. Ovviamente, questo genere di combinazioni sarà il primo ad essere applicato nel caso di un attacco mirato. - Utilizza password complesse. Ciò da cui dipende il tempo necessario perché un attacco abbia successo, è proprio la complessità delle password. Quando parliamo di complessità, non ci riferiamo ovviamente alla sostituzioni ovvie delle lettere con i simboli (che come abbiamo detto sono inefficaci).
Sono piuttosto da prendere in considerazione tre parametri:
- la lunghezza della password,
- l’assenza di pattern,
- i tipi di caratteri utilizzati (numeri, lettere maiuscole e minuscole, simboli).
Per cui le password inserite dovranno essere lunghe combinazioni casuali di tutti i tipi di caratteri che compaiono sulla tastiera.
Paradossalmente, sarebbe molto più efficace una password creata premendo tasti a caso rispetto ad una che vi siete impegnati ad inventare.
Affidati ad un Password manager
Come è ovvio, implementare password complesse e diversificarle per l’acceso a ogni sito web, rende praticamente impossibile ricordarle tutte.
Il problema di archiviazione e conservazione delle password in un luogo sicuro diventa un tema sempre più attuale.
Ormai ognuno di noi colleziona centinaia di accessi a tantissimi siti web, che richiedono ormai sempre più spesso un’autenticazione.
Per questo motivo, vengono in nostro soccorso i password manager: software dedicati per conservare le nostre credenziali in modo sicuro e crittografato.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
